與往常一樣，在新的2013年即將到來之際，IT安全問題的再一次引起人們的關(guān)注。新的一年里，可能又會爆出很多知名度高的大型企業(yè)和機(jī)構(gòu)由于反應(yīng)遲緩，或沒有進(jìn)行相應(yīng)的反應(yīng)而帶來數(shù)據(jù)安全威脅的例子。

過去的幾年里，對于在迅速變化的IT領(lǐng)域?qū)で蠼鉀Q方案的人們來說，安全威脅趨勢已然廣為熟悉了?？焖俨捎玫脑朴?jì)算，轉(zhuǎn)移到虛擬化基礎(chǔ)設(shè)施和過渡到BYOD，已經(jīng)意味著浪費(fèi)了IT部門用于提高企業(yè)效率和尋求企業(yè)各部門協(xié)同的現(xiàn)有人員的大量精力。

快節(jié)奏的IT變化

企業(yè)管理高層對于IT部門專業(yè)人士的能力及其技術(shù)基礎(chǔ)設(shè)施的信任，使得企業(yè)充分依托IT技術(shù)及其帶來的便捷服務(wù)。盡管有相當(dāng)引人注目的證據(jù)存在，但每個人似乎都相信安全漏洞不會發(fā)生在他們身上，或仍然堅(jiān)持認(rèn)為他們現(xiàn)有的IT安全措施已經(jīng)足夠。盡管事實(shí)上，企業(yè)IT環(huán)境從根本上一切都改變了。對于IT部門能夠充分應(yīng)對當(dāng)前IT安全問題的挑戰(zhàn)的信心可能不錯，但預(yù)期的速度可能不容樂觀。

技術(shù)的進(jìn)步使我們能夠更加高效工作。部門協(xié)同和移動設(shè)備也帶來了更多復(fù)雜的數(shù)據(jù)和安全漏洞。我們越努力通過部署虛擬化和云服務(wù)來簡化我們的業(yè)務(wù)，我們就越容易受到這些復(fù)雜安全漏洞的攻擊，同時最終搞定好他們的代價也就越發(fā)的昂貴。

2013年數(shù)據(jù)安全威脅增加

Verizon的2012年數(shù)據(jù)泄露報(bào)告顯示，94%的數(shù)據(jù)泄露事件發(fā)生是因?yàn)樗麄兊姆?wù)器基礎(chǔ)設(shè)施受到直接攻擊。只有一個例子是干擾物尋找使波或?qū)崿F(xiàn)高穿透。具有高度的組織性的犯罪團(tuán)體，甚至國家企圖竊取或破壞戰(zhàn)略信息，也威脅到美國本土和其他地方的公共和私人技術(shù)基礎(chǔ)設(shè)施。

也許是在很大程度上有所忽視，但即使您企業(yè)自己的員工也可能是一個安全威脅因素，特別是如果他們具有相關(guān)的專業(yè)知識，并且有權(quán)限訪問獲取敏感系統(tǒng)數(shù)據(jù)。不僅僅只是一些對企業(yè)不滿的雇員存在風(fēng)險(xiǎn)，一些高度授權(quán)用戶，當(dāng)涉及到密碼等相關(guān)問題時，也應(yīng)該讓他們保持警惕，或防止干脆設(shè)備被盜或丟失。

移動惡意軟件也呈上升趨勢，Android用戶存在相當(dāng)大的風(fēng)險(xiǎn)，同時越來越多的復(fù)雜的數(shù)據(jù)訪問和數(shù)據(jù)竊取計(jì)劃被植入應(yīng)用程序存在重大風(fēng)險(xiǎn)。 Apple設(shè)備在這種情況下，也不能幸免。蘋果的iTunes和QuickTime都被卡巴斯基和其他IT安全供應(yīng)商在惡意軟件報(bào)告中引用。Java漏洞仍然是大黑客的攻擊目標(biāo)，根據(jù)2012年的研究，Java漏洞占到了所有檢測到的漏洞的一半以上。其他漏洞，如Adobe的Flash播放器，還在開發(fā)。

確保數(shù)據(jù)安全需要規(guī)劃

從一開始就為每項(xiàng)服務(wù)都建立部署安全措施真的是不可替代的。當(dāng)一個應(yīng)用程序、進(jìn)程或政策被創(chuàng)造出來了，安全措施應(yīng)該是考慮影響設(shè)計(jì)和維護(hù)服務(wù)的一個重要因素，而不僅僅是一個事后或單獨(dú)的進(jìn)程。

另一種結(jié)構(gòu)的措施，往往是不足的分割。通過在不同的邊界實(shí)施訪問控制，您可以限制任何損害入侵的范圍。使用邊緣安全設(shè)備如防火墻檢查流入和流出數(shù)據(jù)中心的數(shù)據(jù)，篩選出糟糕的流量。這些設(shè)備需要提供有效的入侵檢測和預(yù)防，以及虛擬專用網(wǎng)，防止設(shè)備成為一個嚴(yán)重的網(wǎng)絡(luò)瓶頸。

在您的數(shù)據(jù)中心，虛擬化計(jì)算環(huán)境流量并沒有從邊緣過濾中受益，但這樣的流量可以在每個服務(wù)器上劃分給個別租戶，甚至區(qū)域內(nèi)各租戶。分割，能保證安全政策的有效執(zhí)行，在一個動態(tài)的虛擬化環(huán)境，它本身必須是可擴(kuò)展的、高效的，以確保數(shù)據(jù)的安全性。政策本身應(yīng)該是能夠按照設(shè)備、功能和組織部門分段的。

安全策略和風(fēng)險(xiǎn)評估

數(shù)量驚人的商業(yè)和技術(shù)高層并沒有正式的安全風(fēng)險(xiǎn)管理策略。這一疏忽導(dǎo)致部門的相關(guān)措施是反應(yīng)性的，而不是預(yù)防性措施，同時對于新出現(xiàn)的威脅還是一個非常弱的防御。

分析未來可能的安全威脅和，并將您的IT安全戰(zhàn)略投射到未來，以防范您在明年，后年會面對的威脅。您應(yīng)該能夠看到您企業(yè)過去曾經(jīng)歷過的安全威脅入侵模式，然后制訂一個您可能會面對的安全攻擊類型的大概的列表。雖然您不一定能防止想象中未來的安全威脅，但您的目的絕不是簡單的應(yīng)付更多的安全威脅。

無論您是否可以有效地預(yù)測和抵消您所知道的關(guān)于您的當(dāng)前及未來的系統(tǒng)的基礎(chǔ)安全威脅，您總是可以通過提高您的反應(yīng)過程，幫助減少任何威脅所帶來的損害。您可以更快的識別應(yīng)對安全威脅，限制其威脅的范圍，甚至進(jìn)行完全防止。

只要您做出相關(guān)的決定，為什么不作出一份正式的風(fēng)險(xiǎn)評估作為您每年甚至每季度的審查程序的一部分呢。讓安全評估融入到每一個設(shè)計(jì)團(tuán)隊(duì)的工作過程、每一個最佳實(shí)踐方案、甚至您的企業(yè)文化的一部分。您可以有更好地融入措施來防止已知的安全威脅，制定您很可能會在未來幾個月內(nèi)面​​臨的威脅的防止策略，快速響應(yīng)已發(fā)生的事件。這無疑將幫助您的企業(yè)降低風(fēng)險(xiǎn)和增加靈活性。